IT外包方案企划书2011

IT 外 包 规 划 方 案

目 录

第一章、 调研 ................................................ 5 1.需求分析................................................................... 5 2.整体外包规划方案 ........................................................... 5 第二章、 内网安全解决方案 ....................................... 7 1.内网安全管理概述 ........................................................... 7 1.1什么是内网安全管理 ...................................................... 7 1.2内网安全管理的意义与重要性 .............................................. 7 1.3宝信内网安全管理方案特点简述 ............................................ 8 2.需求分析................................................................... 9 2.1项目背景 ................................................................ 9 2.2内网安全运行管理风险分析 ............................................... 14 2.3内网潜在风险评估 ....................................................... 15 3.网安全管理解决方案 ........................................................ 17 3.1内网安全策略 ........................................................... 17 3.2内网安全域的划分 ....................................................... 18 3.3宝信内网安全产品部署与建议 ............................................. 19 3.4内网安全管理体系架构 ................................................... 21 3.5终端接入控制 ........................................................... 24 3.6终端健康体检 ........................................................... 25 3.7终端运行维护 ........................................................... 26 3.8审计与报表 ............................................................. 27 3.9配置与维护 ............................................................. 27 4.成功案例.................................................................. 27 4.1典型用户列表 ........................................................... 28 4.2行业典型案例 ........................................................... 29 第三章、 网络优化方案设计 .......................................32

1.外网网络及业务应用系统现状 ................................................ 32 2.系统设计原则 .............................................................. 32 3.网络与网络安全系统方案设计 ................................................ 33 3.1网络与网络安全系统总体架构 ............................................. 33 3.2网络系统设计 ........................................................... 33 3.3网络运维管理软件 ....................................................... 35 第四章、 网络安全规划设计 .......................................37 1.安全体系需求分析 .......................................................... 37 1.1安全防护现状 ........................................................... 37 1.2安全体系需求 ........................................................... 37 2.安全系统设计 .............................................................. 40 2.1防火墙系统 ............................................................. 40 2.2入侵防护系统设计 ....................................................... 40 2.3邮件防病毒、防垃圾网关系统设计 ......................................... 41 2.4主页防篡改 ............................................................. 43 2.5链路控制子系统 ......................................................... 45 2.6上网行为管理系统 ....................................................... 47 第五章、 关键数据备份规划设计 .....................................51 1.关键应用数据的备份机制分析 ................................................ 51 1.1备份系统建设要求 ....................................................... 51 1.2数据备份系统建设目标 ................................................... 52 1.3目前的备份需求 ......................................................... 52 2.关键应用数据的备份部署配置 ................................................ 52 3.关键应用数据规划中的备份方式 .............................................. 54 4.关键应用数据备份策略 ...................................................... 54 4.1对文件系统备份的专用策略 ............................................... 55 4.2每日对各服务器的备份策略 ............................................... 55 5.关键应用数据的备份产品选型 ................................................ 55

6.关键应用数据的备份产品简介 ................................................ 56 第六章、 计算机系统运维规划设计 ...................................59 1.日常维护.................................................................. 59 1.1日常维护流程图 ......................................................... 59 1.2主机系统 ............................................................... 59 1.3网络系统 ............................................................... 59 1.4安全系统 ............................................................... 60 1..5应用系统 .............................................................. 60 2.专业维护.................................................................. 60 2.1日常维护流程图 ......................................................... 60 2.2定期预防 ............................................................... 60 2.3适应性维护 ............................................................. 61 2.4故障维护 ............................................................... 61 2.5改善性维护 ............................................................. 61 第七章、 员工IT素质培训规划设计 ..................................63 1.应知应会能力培训 .......................................................... 63 1.1微机系统日常安全操作 ................................................... 63 1.2一般故障分类及判断解决方法 ............................................. 65 1.3常见的微机故障案例及解决方法 ........................................... 68 1.4定制培训项目 ........................................................... 71 2.运维管理能力培训 .......................................................... 71 第八章、 公司介绍 .............................................72

1．概述 ................................................................... 72 2．主营业务 ............................................................... 72 4．公司资质 ............................................................... 72 5．网络巡警eCop资质 ...................................................... 74 第九章、 产品设备价格清单 .......................................75

第一章、 总研

1.需求分析

已经拜访过两次，第一次拜访时了解到了贵公司内网桌面安全管理方面的实际需求；我司的内网安全解决方案得到的认可，第二次拜访时，了解到需要IT外包的远期规划方案，通过这两次的拜访和了解，我司有这样的实力，可以提供给 一个当前和远期需求的规划方案。 规划方案中包括内网安全解决方案、网络优化规划方案、网络安全规划方案、关键数据备份规划方案、计算机系统运维规划方案、员工IT素质培训规划方案，共五大项的整体外包方案。

2.整体外包规划方案

根据 整体外包项目规划方案，共分为五期完成： 第一期、内网安全解决方案（今年8-9月份实施）

从信息安全的发展趋势来看，内部网络安全的重要性日益凸显，已成为信息安全体系中最重要的一环。根据公安部以及美国FBI/CSI等权威机构的调查：超过85%的安全威胁来自组织内部，有16%来自内部未授权的存取，因此，内部网络的运行存在着很大的一个安全管理盲区。

第二期、网络优化规划方案&网络安全规划方案

根据 外网业务和功能的后续不断扩充，建议划分为五大区域: 用户接入区、安全管理区、对内服务区、对外服务区、Internet连接区，各区域之间通过防火墙隔离。

从安全防护的角度来看，当前的安全系统建设已经取得了一定的成效，为 贵公司信息系统的正常运行提供了较好的支撑，在本期项目中将从整体安全保障的角度进行规划和设计，使系统更加符合国家相关政策要求。 第三期、关键数据备份规划方案

系统中的数据目前主要集中存储于基于单机的磁盘阵列中，包括了所有的业务数据。这些数据通常是以数据库和文件的形式保存在磁盘阵列中。对于这些数据而言，对它们进行科学合理的日常数据备份以及在条件具备的情况下分期是现数据级的以及应用级的远程容灾保护是实现业务应用信息安全的重要保障和满足灾难发生后及时恢复日常工作的基础，因此该系统的数据备份及荣在今后将会逐步成为整个信息系统中的最主要的组成部分之一，因此我们需要充分全面地考虑系统的数据备份容灾保护问题。 第四期、计算机系统运维规划方案

计算机系统运维是计算机管理的核心和重点部分，也是内容最多、最繁杂的部分，该阶段主要用于IT部门内部日常运营管理和专业维护。 第五期、员工IT素质培训规划方案

对非IT工作员工做应知应会的计算机使用常识培训，对IT工作员工和高级管理人员可进行计算机运维管理能力的专门培训，包括主机系统、网络系统、安全系统、应用系统、桌面系统全方面。

第二章、 内网安全解决方案

1.内网安全管理概述

1.1什么是内网安全管理

国际标准化组织（ISO）对计算机系统安全的定义是：为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。由此可以将内网安全管理理解为：通过采用各种技术和管理措施，使内部网络系统正常运行，从而确保网络数据的可用性、完整性和保密性，建立一个可信、可控的内部安全网络。

可信可控的内部网络架构应该具有如下特征：

? 网络中的行为和行为中的结果总是可以预知与可控的；

? 网内的系统符合指定的安全策略，相对于安全策略是可信的、安全的；

可信可控网络架构的推出，可以有效地解决用户所面临的如下问题，如设备接入过程是否可信；设备的安全策略的执行过程是否可信；安全制度的执行过程是否可信；系统使用过程中操作人员的行为是否可信等。

符合“可信可控”理念的内网安全管理体系可以实现用户网络安全资源的有效整合、管理与监管，实现用户网络的可信扩展以及完善的信息安全保护；解决用户的现实需求，达到有效提升用户网络安全防御能力的目的。

1.2内网安全管理的意义与重要性

长期以来由于媒体报道的侧重点以及生产商的广告宣传等多种因素的影响，国内公众对网络安全的认识被广泛误导。认为全面系统的安全解决方案就是部署反病毒软件、防火墙、入侵检测系统，这种看法对用户实施有效的信息安全保护带来了不良影响。信息安全的建设是一个系统工程，它要求对信息系统的各个环节进行统一的综合考虑、规划和构架，并要兼顾用户环境不断发生的变化，任何环节上的安全缺陷都会对系统构成威胁。

从信息安全的发展趋势来看，内部网络安全的重要性日益凸显，已成为信息安全体系中最重要的一环。根据公安部以及美国FBI/CSI等权威机构的调查：超过85%的安全威胁来自组织内部，有16%来自内部未授权的存取，因此，内部网络的运行存在着很大的一个安全管理盲区。以下是几个真实案例：

? 西安某研究所核心技术资料失窃案，损失3000万；

? 国务院领导到某国营单位视察，员工在内部论坛发布不合适信息造成不良影响； ? 云南某公司服务器IP地址被非法盗用，导致公司业务中断四小时，损失巨大；

? 苏州某化工公司技术泄密案，损失1亿元； ? Google内部文件不慎泄露 股价再度受挫下滑。

由此可见内网安全隐患是真正使组织面临实际的威胁。若是忽略了其内网安全防范措施，将损失许多宝贵的核心数据、专利技术信息，多年累计的技术资产和研发投入成为他人的嫁衣，甚至可能因此失去竞争力。 组织还可能丧失的是其声誉，以及员工、合作伙伴与客户的信赖。在网际网络更加普及化之际，组织将面临以下的重要课题：

1、 核心技术专利数据：如何保护这些核心机密不受到内部或外部的恶意威胁，例如人员跳槽或是违规泄露、拷贝等等；

2、业务流程：如何保护组织正常业务活动不致因为内网网络与资源受到不当或非法使用而遭受损害；

4、效能损失：如何确保员工的网络行为是最大服务于组织的发展；

5、声誉损害：如何保障不致因内网防护不当、传输效率过低等因素而造成组织的信用及声誉的损害。

大多数组织重视提高网络的边界安全，但是其网络的核心内网还是非常脆弱的。实践证明，很多成功防范网络边界安全的技术对保护组织内网却没有效用。

1.3宝信内网安全管理方案特点简述

本方案系对阿尔西的整体内网安全管理体系提出建议，采用基于业界最领先的内网安全管理产品――宝信软件的网络巡警eCop和解决方案。

1.3.1宝信内网安全管理方案的技术优势

1、功能全面性、领先性：宝信网络巡警eCop从内网安全的各个环节入手，提供了全面、完善的功能模块，特别是在接入安全管理、补丁管理等方面的技术优势，为用户提供完整的内网安全解决方案，保障信息安全体系的建设。

2、软硬件一体化设计：eCop采用先进的软硬件一体化的功能控制器设计理念，并针对产品功能进行优化设计，实现了硬件平台与软件系统的无缝整合，保证整个系统安全性与稳定性。 3、功能模块化：eCop采用功能模块化的设计理念，使得其产品功能可以灵活组合，有效的节省用户投资，升级也可以做到新功能的“即插即用”。 4、兼容性： eCop是一款旁路设备，使用时将其接入网络即可管理，不会影响用户现有网络及应用环境，与其它信息安全产品也可以很好的协同工作。

5、适应性： eCop可以适应不同规模和复杂度的网络。对于中小型的局域网，仅使用一台或几台eCop即可进行管理；而对于5000个节点以上的大型的网络，可以使用分级管理，

集中汇总的协同工作模式实现对全网的管理。

1.3.2宝信内网安全管理方案的核心优势

1、软件成熟度5级认证（简称CMM5）：宝信软件是国内为数不多通过CMM5级认证的软件企业，拥有成熟的软件开发过程管理和工程能力。

2、管理体系：宝信软件拥有一套完整的信息安全体系建设流程，方案注重安全策略的引入，通过管理策略与技术的有机结合搭建有效内网安全架构。

3、产品成熟度：宝信公司于2002年5月份就推出了内网安全管理产品eCop。从软件的生命周期来看，一款软件产品通常需要两年以上的成长才能逐渐稳定、成熟。eCop经过4年以上的研发、实施，已经形成了完整、成熟的内网安全解决方案。

4、应用案例：eCop在国内各行业均有高质量的成功案例，并且通过对这些案例的跟踪和调查，已经总结出成熟的行业解决方案与宝贵的实施经验。

5、售后服务与支持：宝信公司通过四年多的努力，已经建立了三级eCop技术支持架构和完善的售后服务流程。并在全国各分机构、渠道代理商中培养了一大批eCop支持工程师，可以对客户的各种服务需求及时做出高质量的响应。

2.阿尔西需求分析

2.1阿尔西项目背景

2.1.1阿尔西网络结构

整个网络的拓扑如下图示：

总部大楼网络属于阿尔西内网的核心所在。大楼内有线网络共划分约6个网段和无线网络。各楼层接入交换机通过电缆直接接入核心交换机。目前共有150台左右的办公电脑。

2.1.2阿尔西内网安全管理项目需求

2.1.2.1项目范围

项目范围包括VLAN4、VLAN5、VLAN6，共三个网段。

2.1.2.2项目设计目标

阿尔西内部网的安全建设总体目标是：在不影响阿尔西当前业务的前提下，根据计算机信息系统安全保护等级划分准则进行安全建设，从实际需求出发，实现网络信息严格保密的需要，同时系统应是一个具有灵活性，开放性，便于扩充升级的综合系统。

阿尔西内网安全管理项目最终需要达到以下效果：

1）终端资产管理：包括硬件信息和软件信息的快速全面收集，并在此基础上记录变更信息。 2）外设与端口管理：管理人员可在控制器端设定启用或禁用各计算机的外围设备，包括软驱、光驱、U盘等设备。

3）文件记录功能：包括在打印机、服务器、U盘上文件存储的记录功能。

4）远程管理功能：包括屏幕监控和远程控制功能。

以上1、2、4点NSM5.2都可以满足，由于新版本设计时的产品理念和技术发展方向上有所改变，取消了上面的第3项文件记录功能模块。但如果必须用到这个功能，建议用户采购宝信的NSM3.0版本。

2.1.3 NSM5.2版本新增和更新升级功能

2.1.3.1 NSM5.2版本的新增功能如下：

软件的扫描代理（简称SA，Scan Agent，又称IPA）：

NSM3.0版本的IPA是部署在宝信核心处理器（CM）后的硬件设备，当管理网段超过3个时，进行扩充网段使用，当然会相应增加硬件成本。NSM5.2版本软件的扫描代理（SA）可以降低其硬件成本。 客户端非法隔离：

在更新管理监控和防病毒软件监控模块，支持对非法终端的隔离。在更新管理监控模块和防病毒软件监控模块，管理员可以针对组织机构配置对应的更新服务器IP地址和防病毒软件的服务器IP地址，当终端隔离后，就只能访问配置的IP地址（与核心处理器（CM）永远保持通讯状态）。

防病毒软件监控模块服务器地址配置

更新管理监控模块服务器地址配置

控制代理（MA）模块

没有部署SA的网段，可以由MA负责扫描，但是由于SA是利用ARP包方式进行扫描，MA是利用TCP进行扫描，两者存在区别，导致用MA扫描只能发现在线节点的IP地址，而不能获取到MAC地址，所以，用MA扫描方式就无法进行接入控制了，只能进行健康体检。 数据优化

对CM上各种数据（报表文件，定期截屏文件，数据库归档文件，数据库中各种审计、报警和日志信息）进行定期的清理或者备份，防止由于磁盘空间满造成问题，同时提高数据库查询的速度和数据的安全性。用户可以配置磁盘报警阈值，在磁盘使用率到达阈值后会启动报警告知管理员；支持FTP外传备份文件机制；支持对历史数据的查询。 分布式部署支持－数据中心（DC）

开发了eCop数据中心，可以管理CM和数据中心，从而可以实现CM和DC的多级部署和管理。

2.1.3.2 NSM5.2版本的更新升级功能如下：

更新管理优化

弱化了和WSUSSERVER的关系，原来是等待WSUSSERVER汇报各个客户端更新安装情况，现在客户端主动调用WSUSSERVER的接口，及时了解更新安装情况，并根据管理员的配置进行合法性判断。支持对一般更新的时间策略监控（在更新审批后一段时间内安装即可）和重要更新的截止时间测试监控（一定要在某个时间点之前安装好配置的更新）。 防病毒监控优化

改进了原有防病毒软件特征项需管理员频繁维护的不足；新增了客户端防病毒软件安装情况查看功能和基于防病毒软件信息的综合查询功能；同时在设计上允许客户端多个防病毒软件的可选择性安装，拓展了防病毒软件检测使用的灵活性；支持对不同操作系统配置不同的特征值，以满足不同防病毒软件对操作系统支持的变化。

按照接入控制和健康体检调整

系统围绕接入控制和健康体检两条主线进行重新规划，使得重点更新突出。特别提醒的是原有底帐管理现在改成了接入控制中的接入准则配置。 手工添加交换机

有些交换机在不能自动扫描出来情况下，可以通过手工添加后识别。

SA自动升级

本模块可以按照不同的需求对每个控制代理配置对不同SA是否开启升级功能，以保证SA可以在版本更新时自动完成更新。同时可以针对急需升级的SA进行立即升级。

硬件变更监控中去掉了鼠标和键盘的监控

考虑到实现复杂，而实际上用户需求很小，所以从这个版本去掉了此功能。 jakaMonitor监控程序

增加jakaMonitor监控程序，在tomcat异常后会自动重启，提高系统可用性。

增加公司情况描述和系统版本介绍

在系统管理的系统运行维护菜单下，增加了系统信息页面，来描述有关系统的基本信息。

系统管理-->系统运行维护-->系统信息 页面

2.2内网安全运行管理风险分析

基于上述对内网现状的分析，评估阿尔西目前内网管理是否存在以下不足：

2.2.1安全策略

是否拥有一套面向网络的建设者、管理者和使用者的适合组织的安全管理策略和管理规范，为内网安全提供管理性的指导和支持。

2.2.2员工安全意识风险

组织内员工是否意识到信息安全的威胁和利害关系，并在日常工作过程中支持组织的安全策略。

2.2.3信息资源的访问控制风险

是否拥有完善的访问控制策略以防止对信息系统的未授权访问；防止未授权用户的访问；保护网络服务；防止未授权的计算机访问；防止对信息系统内信息的未授权访问；探测未经授权的活动；确保移动办公和远程工作的安全。

2.2.4资产管理风险

是否拥有完整的资产管理策略以确保信息处理设备正确、安全的运行；将系统故障的风险降到最低；保护软件和信息的完整性；维护信息处理和通信服务的完整性和可用性；防止资产损坏、业务活动的中断。

2.3阿尔西内网潜在风险评估

2.3.1是否拥有完善的节点接入管理策略

节点接入安全常见问题主要表现为以下两方面：

1、IP地址盗用：恶意的盗用可能基于不可告人的目的，如：逃避服务器的记录、让服务器或某些重要主机无法上网；而非恶意的改动也会造成同样的后果。

2、外来设备的非法接入：将非法计算机接入网络，盗窃网上的资源，甚至对主机发动攻击。

出现概率：低 影响程度：高

处理建议：通过浏览器方式实现远程异地管理整个内网的IP地址资源，监视IP地址的使用情况。并有相应的技术手段来实现对IP地址盗用、非法节点接入等违规行为的自动发现、阻断、报警和日志记录策略。

2.3.2是否有适用的资产信息管理手段

目前，管理人员对所管辖网络的资源占用和用户情况难以准确掌握，对实际接入的计算机数量难以进行精确的统计，对面临的危害难以做出动态的评估和有效的防范。

出现概率：中 影响程度：高

处理建议：阿尔西的内网安全管理系统应该帮助管理人员建立起台帐信息，对所有接入计算机的用户信息进行登记注册。在发生安全事件时能够以最快速度定位到具体的用户，对于未进行登记注册的微机，能自动将其隔离在系统之外；同时，内网安全管理系统也应该能够自动搜索各微机的软硬件信息，并能够对这些信息进行统计和分析，生成相应报表；另外，内网安全管理系统还应该与安全策略紧密结合，自动收集与安全相关的一些系统信息，包括：操作系统版本、操作系统补丁、软硬件变动等信息，同时针对这些收集的信息进行统计和分析，给出安全状况报告。

2.3.3对外围设备的使用能否有效管理

计算机的外围设备为各种信息在不同的计算机设备之间交流提供了一个方便的途径，通过它们可以将各种信息复制到不同的计算机中，也包括病毒、木马等。与此同时，内网中的主机上保存着一些涉密的内部信息，这些信息不能够随意地被传播。

出现概率：低 影响程度：高

处理建议：对外围设备的使用进行控制，不允许随意地使用外围设备拷贝机密数据。内网安全管理系统应该实现对各客户机外围设备的集中监视和控制，通过在管理端进行设置，可禁止和启用各客户机的外围设备，有效地保护计算机上的信息。

2.3.4缺少对客户端进程的监控措施

阿尔西内部存在违规使用软件的行为。员工在计算机上安装使用游戏软件、盗版软件，不但引入了潜在的安全漏洞，降低了计算机系统的安全系数，还有可能惹来版权诉讼的麻烦；这些行为不仅降低员工的工作效率，且对内网构成重大的安全威胁。

出现概率：低 影响程度：高

处理建议：内网安全管理系统应能自动搜集各计算机所有的软件信息，形成内网计算机的软件资产报表，从而使管理员全面了解各计算机安装软件的信息，及时发现安全隐患并予以解决。同时，管理员可以在管理端配置软件运行预案，指定内网计算机必须运行的软件和禁止运行的软件，从而对计算机的软件运行情况进行检查，对未运行必须软件的情况发出报警，终止已运行的禁用软件的进程。

2.3.5是否拥有完整的补丁管理策略

操作系统补丁管理始终都是有必要的，是个不容忽视的重要任务。如果不实施全面的补丁策略，则后果可能会很严重：关键任务生产系统会失败，安全性敏感系统会受到恶意利用，从而导致时间和相关业务收入的损失。组织应该采取以下步骤：正确地配置系统，使用最新的软件，以及安装建议的有效性和安全补丁。

出现概率：低 影响程度：高

处理建议：阿尔西内网安全管理系统应具有补丁管理功能应该帮助组织对产品环境中的内部操作系统软件进行部署和维护控制，帮助组织保持运作效率和有效性，克服安全漏洞并保持生产环境的稳定性。通过成熟稳定的补丁管理程序在网络环境中评估并保持系统软件的完整性，也是成功实施信息安全程序的首要关键步骤。

2.3.6缺少有效的终端远程管理措施

随着网络规模的日益扩大，工程人员对网内客户端进行管理和维护工作时，如果全部对

现场机器直接操作，需要花费大量的时间和精力。这就需要一种安全可靠的远程控制解决方案，它可以使管理员通过网络远程进行连接、安装、配置和排除故障。

出现概率：低 影响程度：高

处理建议：内网安全管理系统应该提供一种集中的手段来部署、监视并且管理分散的IT设备。工程师不再需要到每一台客户端所在的现场进行操作，坐在一台安装有管理器的计算机前，就可以方便、快速地完成维护、配置、重启机器的工作。

2.3.7是否拥有完整的身份认证与授权策略

身份认证服务是帮助系统识别用户的身份，决定并控制他们在网络上能干什么工作，即所谓的授权管理。组织内多套信息系统的多帐号身份认证和权限管理将会带来管理上的重复和不一致性，也可能导致管理混乱，带来安全漏洞。

出现概率：低 影响程度：高

处理建议：内网安全管理系统应该实现多信息系统的统一用户身份认证和授权管理，为实现阿尔西统一门户、单点登录提供手段。

3.阿尔西内网安全管理解决方案

3.1内网安全策略

3.1.1内网信息登记策略

通过自动收集以及注册登记相结合的方式，收集全网设备信息（如终端IP/Mac地址、服务器、软硬件信息等），并按照组织机构归类。这样在发生安全事件后，可迅速确定安全事件源，采取有效措施。

3.1.2内网管理责任制度

本方案基于阿尔西组织结构管理，可在各管理节点分别设立专门的工作人员－部门管理员，对所管理范围内的内网进行日常的维护。他们的工作职责是：

? 与内网安全管理中心沟通； ? 内网的日常维护；

? 接收所管理范围内的违规报警信息；

? 处理产生的安全事件，确定事件源； ? 定期的安全评估；

? 提交可疑的事件样本、日志。

同时在阿尔西内网安全管理中心设立一名全网管理员，他的工作职责是： ? 收集各部门管理员提交的事件样本、日志及产品使用过程中遇到的问题，提交给宝

信软件或集成商，作为三方沟通的窗口； ? 制定并推行内网管理策略；

? 实时了解全公司范围内网防护状况，并作出安全评估，对出现管理漏洞的管理节点

提出相应的改进建议；

? 了解最新的产品信息，发布给各部门管理员。

设立独立的审计帐号，记录全网管理员与部门管理员的操作日志，因此建议在阿尔西管理部门设立一名审计员，他的工作职责是：

? 审计全网管理员操作日志； ? 审计部门管理员操作日志；

3.1.3定期安全事件评估

部门管理员将每周发生的安全事件汇总并进行详细评估，查找安全事件原因，并将此报告提交至该部门管理人员，督促该人员增强自身管理。

全网管理员收集各部门管理员提交的安全评估报告，进行总结，并提交给领导。

3.2内网安全域的划分

安全域是指根据一定的分类方法，将一定数量的主机划分在同一个范围，使这些主机

从逻辑上是在同一个安全区域。对网络内部的主机进行安全域的划分，主要考虑。

3.2.1安全管理的需要

管理者需要对网络内部大量的、分散的主机进行有效的管理，就需要进行安全域的划分。按照一定的分类方法，管理者可以将“大量的、分散的”主机安置在不同的安全域，每个安全域都只是包括了可管理数量的主机，使得每个安全域的内部安全管理都变得切实可行！而不是使安全管理变得复杂而不具可操作性，也不会使安全管理变成了整个内网安全体系的瓶颈。

3.2.2安全策略的需要

安全域的划分为安全策略的制定提供了基础，管理者可以根据不同安全域的不同安全需

求，并结合相关管理制度，为每个安全域都制定相应的安全策略，使得网络的内部安全管理可以有层次的，同时也是全面的安全管理。

内网安全域的划分通常有两种方法：

? 按照主机安全级别。根据主机可能接触信息的安全级别来进行划分；

? 按照机构内的行政范围。根据机构内部的行政范围来进行划分，如：财务科（安全

域）、生产科（安全域）等。

3.3宝信内网安全产品部署与建议

3.3.1eCop部署拓扑

如上图示，宝信网络巡警eCop主要由如下部分组成：

eCop中央控制器、控制代理、扫描代理、eCop客户端、更新管理监控端、DHCP代理、

报警精灵、远程桌面管理。 部署说明：

eCop NSMI型共三个网口LAN1、LAN2和LAN3,三个网口全部接入到核心交换机上，分别管理内网中的VLAN4、VLAN5和VLAN6,共3个网段。当这3个网段中有违反策略的

客户端时，可以将其放到虚拟隔离区中，客户端只能访问指定的服务器，升级到符合接入策略后才能允许访问局域网内相关权限的资源。

宝信软件eCop产品是基于B/S结构进行管理，任意一台网内计算机都可作为管理控制台，输入相应的用户名和帐号即可进入管理界面。 中央控制器（简称CM，Central Manager）

中央控制器是eCop产品体系的管理核心，采用B/S模式、软硬件一体化设计，实现对全网数据的收集统计和分析，是数据存储和提供用户交互接口的设备，通过升级包升级。根据启用的管理功能和管理的网络规模、终端数量，有5个级别的设备可供选择，针对多个中央控制器，还能够架构一个上层控制中心，汇总多个中央控制器的数据。 控制代理（简称MA，Manage Agent）

控制代理完成对扫描结果的逻辑处理，以及获取中央控制器的指令，对管辖内的扫描代理发布控制指令和配置信息，同时负责扫描关联的交换机，以获取交换机端口与接入设备的MAC地址对应关系，实现对交换机端口接入的控制。中央控制器内置一个控制代理。 扫描代理（简称SA，Scan Agent，又称IPA）

接入控制功能启用需配置中央控制器、扫描代理和控制代理。每个扫描代理管理一个物理网段（主动扫描模式一个网段不超过1024个节点），能够为软件形式（安装在98/NT/vista外的windows系统上），也能够是软硬件一体化的设备（内置3个扫描代理），主要取决于对安全级别和部署成本的要求。在运行过程中，硬件设备与软件部署对于控制代理是透明的，一个网段内最多安装3个代理，会按照启动顺序自动选举一个处于活动状态，其他代理处于休眠状态。中央控制器内置一个扫描代理。 安全客户端（另称LsAgent）

终端健康体检功能依靠安装在每个终端上的安全客户端来实现。安全客户端直接与中央控制器通过https通道进行通讯。当相应客户端的配置发生变更时，中央控制器会主动通知客户端，客户端会根据中央控制器负载情况主动获取新的配置；当客户端监测到有配置的审计事件发生，会根据中央控制器负载情况，向服务器发送审计记录。 更新管理监控端（另称WSUSMonitor）

配合WSUS Server进行windows更新管理，需要在WSUS Server上安装监控程序WSUSMonitor。

DHCP代理（另称DHCPSniffer）

为支持DHCP的IP接入控制，需要在DHCP Server上安装DHCPSniffer。如果使用非windows系统的DHCP服务器，则无法安装DHCPSniffer，同样也无法启用eCop系统在相应网络范围内的动态IP地址管理功能。

报警精灵（另称AlarmGenius）

用户能够在一般的客户计算机上安装报警精灵，以获取系统发出的管理员报警信息。 远程桌面管理（另称Lanseeker）

如有远程桌面管理的需求，可在管理员计算机上安装Lanseeker监控端，在需被控制的计算机上安装Lanseeker客户端。

3.3.2eCop部署建议

根据阿尔西内部网络潜在的威胁分析，结合宝信eCop网络巡警的特性，由点及面，全方位部署，彻底截断病毒入侵的所有途径。

1、在阿尔西总部中心机房部署一台eCop5 CMI型中央控制器，支持最多250个客户端。该中心配置可以解决内网安全中的终端接入控制、终端健康体检、终端运行维护、审计报表等所有模块的策略配置和数据汇总功能。

2、将中央控制器接在核心交换机上，用eCop5 CMI内置的控制代理和扫描代理来管理3个VLAN网段。内网分配IP地址如果是采用动态分配的方式，同时还需要在动态分配IP地址服务器上安装DHCPSniffer监控端，从而完成IP地址管理总体配置和部署实施问题。

3、在内网各计算机上安装客户端程序，来保证客户端管理策略的实现。客户端程序采用了多线程保护等多种手段，保证驻留程序不被卸载和停用。从而完成整体的内网安全解决方案的部署。

4、在总部中心架设一台监控管理服务器，包括远程桌面监控、更新管理监控、实时报警监控。

3.4内网安全管理体系架构

基于上述安全策略及对该领域技术发展前景、产品的性价比等综合因素，宝信软件建议阿尔西采用网络巡警eCop搭建内网安全管理架构：

3.4.1eCop简要说明

上图中各子系统的功能如下：

1、终端接入控制

是用户构建“可信”内网环境的稳固基石。管理和控制接入内网的各类网络设备，包括计算机、服务器、交换机等具有独立IP和网络接口的设备，设定接入策略，不符合策略的终端不能入网。该功能综合了eCop系列产品的3种技术：基于ARP原理的IP地址阻断与保护、基于交换机端口控制的管理功能，基于客户端自检的网络访问控制功能，高效的扫描引擎快速并准确的扫描到节点，形成灵活多样的网络设备接入控制功能； 2、终端健康体检

是用户构建“可控”内网环境的中流砥柱。监控安装Microsoft Windows操作系统（除Win98/Vista）的计算机、服务器，能够监控windows补丁和防病毒软件安装运行情况，做好终端安全防护；监控计算机外设使用、外联拨号、USB设备使用，并增强了USB设备文件加密功能，防止机密信息泄露；监控计算机软硬件安装和变更、进程运行情况，提高内网资源使用效率。发现不符合“健康”标准的终端，则可以采取警告、隔离、阻断等措施，直到恢复要求才许入网； 3、终端运行维护

通过系统的自动搜集和更新功能，并辅助以手工添加的形式，逐渐形成按照组织机构的IT资产信息，包括计算机、网络节点信息等。若与管理制度相结合，提高资产利用率，使管理更规范快捷。提供终端截屏功能、远程桌面监控功能，减轻管理员远程维护的工作困难，是实现“可管”内网环境的有力辅助；

4、审计中心

完全用户自定义的审计功能，按用户需要记录用户最关心IT资产的使用、变化和违规信息，为用户合理规范地使用IT资源以及事件故障的追溯提供有力依据，数据有统一的图表展示和分析，并且可以支持长期保存； 5、系统管理

完成对安全管理及监控系统自身的管理和配置功能，该子系统划分为运行环境配置、用户机构管理、管理权限维护和系统运行维护四个模块。

3.4.2eCop优势特点

1、系统运行稳定，可靠性高

专业软硬一体的监控设备，采用专门定制的并经严格测试硬件设备，保证了内网安全管理系统可以长期、稳定运行。旁路接入设计，当产品发生故障时适时断开网络，不会影响到企业主营业务的开展。客户端目前支持Windows主流操作系统，运行稳定，占用系统资源很低。

2、准确并高效的网络扫描机制

通过TCP扫描、交换机扫描、ARP扫描3种引擎以及安装的安全客户端对节点进行接入检查和健康体检，高效准确的组合扫描机制是确保整体系统可靠运行的保障，同时又是有效的网络接入控制手段。

3、丰富并可灵活组合的终端健康体检功能

为计算机维护和管理人员提供了有效的技术手段。健康体检功能涵盖了日常的终端运维和终端安全工作，从计算机使用的各个方面规范和监督用户，为组织的管理制度实施提供了有效的保障。用户可根据需要灵活组合各模块。 4、多层次管理和策略控制

可以按照不同的组织机构层级或者个人设定不同管理控制规则。根据组织机构和功能模块的两维授权体系，可以灵活应对不同组织内的授权管理要求。 5、自定义的审计中心和全面的报表功能

完全由用户自定义，避免大量无用数据，大大简化管理员的日常工作。用户可以定义报表模板和任务。

6、高度适应环境变化，不需对网络进行特殊配置

市场上多数接入控制系统利用交换机VLAN分隔方式，或通过交换机的802.1X协议扩展主机名、MAC地址绑定的方式实现接入控制，这些方案配置管理不够灵活方便，对网络设备硬件要求高，对管理维护人员技术水平有较高要求，有些系统需要对现有网络环境进行较复杂的配置甚至是改造。而eCop支持各类网络环境，采用旁路接入的方式，不需要用户对网络环境做特殊修改。交换机扫描和端口管理支持当前大多数主流的交换机产品。 7、部署应用灵活

分布式架构，适应超大网络规模的部署和应用。B/S系统结构。整个系统的管理和设置全部基于Web方式，在Web上就可以直接管理内网安全管理的运行，监控整个网络的运行状况。通过对策略模板的集中管理和应用，保障了整体策略的贯彻实施；同时模板的灵活性又保证了安全策略针对不同的应用环境可以灵活定制。 8、可扩展性强

可开放标准接口与外部系统联动。另外，eCop-NSM V5 产品是宝信软件股份有限公司内网安全系列之一，同系列还包括宝信智能安全网关eCop-XSA等其他涉及边界安全、内部安全的产品。使用eCop内网安全系列产品，可以很方便的实现与eCop-XSA的联动，进而形成功能扩展。例如，可以通过eCop-XSA作为VPN的接入网关，同时通过与eCop-NSM V5联动形成VPN接入体检与健康体检系统。

3.5终端接入控制

网络接入控制已经日益得到企业用户的重视，因为只有确保内网接入的设备可信并受控，才能有效的保障内网安全。而接入设备如何才是可信，能够控制到何种程度，结合多年内网安全产品研发和市场推广经验，eCop-NSM V5提供如下功能：

3.5.1自定义的组合接入检查策略

节点MAC地址是否进行过登记，是否使用了合法绑定过的IP地址，是否从指定的交换机端口接入网络，是否安装并正常运行了安全客户端程序，都作为接入体检策略的备选项之一。不同的用户能够根据自己实际的网络环境和管理要求选择合适的接入策略。

3.5.2灵活的接入控制手段

支持主动扫描与被动侦听的管理方式，对于发现试图接入的不合法设备，能够采用IP地址保护、ARP阻断、关闭交换机端口、关闭违规计算机网络接口等方式对其进行控制，用户能够选择适合自己实际应用的方式进行控制。

3.5.3自定义接入策略模板

根据多年应用经验，为接入控制配置提供最大程度的灵活性，针对不同的应用类型提供了合理的参数范围和缺省值。用户可自定义接入策略模板，模板集中管理和应用，以保障组织的接入安全策略得到贯彻，同时减少重复的配置工作。

3.6终端健康体检

网络设备完成合法接入，只能保证接入设备初始是合法的，但是要保证在运行过程中

符合组织的安全使用规范，只能依靠在运行过程中持续的进行健康体检。对于安装了安全客户端的计算机，能够采用客户端网络访问控制的方式限制其网络访问范围，形成一个逻辑隔离区，体检未通过的计算机，能够在此中间层内进行更新以满足体检策略。

3.6.1安全客户端

采用windows驱动层和应用层相结合的技术实现，在保证实现管理功能的同时，架构设计保证能够占用尽量少的系统资源，并且运行稳定。客户端程序作为服务在操作系统启动时自动启动，具有防恶意卸载功能。支持在线安装、卸载和离线安装、卸载，中央控制器能够快速准确的检测安全客户端的运行状况。系统通过客户端完成对终端计算机的安全防护、健康体检、资产自动收集和维护。

3.6.2更新管理

与WSUS3.0相配合，能够在中央控制器上为每个组织机构设置适合的标准更新模板，客户端结合配置的策略进行本机更新检查，对于不满足更新策略的情况进行警告，并且提供手动和自动的方式进行更新的下载和安装。对于组织内计算机对于更新的安装情况进行统一管理，及时地发现组织内部的防御漏洞。

3.6.3防病毒软件检测

支持国内外当前主流的防病毒软件检查，能够及时查询防病毒软件引擎和病毒库版本，并且支持注册表方式扩展。能够针对不同的组织机构设置合适的标准防病毒软件模板，支持一个组织机构内安装多种防病毒程序，支持对不同的操作系统配置不同的特征项值。

3.6.4USB存储设备认证与加密

针对USB存储设备这种当前最常见的移动存储设备，制定了设备认证和文件加密相结合的保护方式，只有经过本组织机构认证后的USB存储设备，才能够在装有安全客户端的本组织主机上被启用。

可配置USB存储设备为加密设备，则写入该USB存储设备的文件将会自动被透明加密，只有装有安全客户端的计算机才能进行透明解密读取文件内容。U盘中的文件全部可见，加密文件打开为乱码。

加密和解密目前采用的是对称算法，写入U盘，加密，从U盘读，则会解密。设置为加密U盘前原有文件对不安装客户端的计算机来说是明文，安装了客户端的计算机读取时就有一次加密，因此读入为乱码。对USB存储设备有文件审计，记录文件的创建、修改和删除。

3.6.5外联监控

通过配置连接参考点和标准路由信息来对主机进行联网检测，以检测各种途径的非法外联事件、脱离内网的不安全操作等。

3.6.6外设控制

全面控制软驱、光驱、USB接口、Modem、并口、串口、1394口、红外口等常用外设接口能否使用，进而控制这些接口连接的外围存储设备、打印设备等，控制机密信息的泄漏途径。

3.6.7硬件变更监控

快速全面收集计算机的硬件信息，并在此基础上记录变更信息。能够定义规则以检测重要硬件的变更，以审计变更事件，并进行报警处理。硬件信息的变更直接更新资产信息。

3.6.8软件监控

监控计算机软件安装情况，设置“必须安装”和“禁止安装”的策略，对违规安装软件的计算机进行警告、记录、报警、阻断等操作。

3.6.9进程监控

监控计算机进程运行情况，设置“必须运行”、“禁止运行”、“监控运行”3种策略，控制指定进程的运行状态。

3.7终端运行维护

终端运行维护模块是实现“可管”内网环境的有力辅助。提供资产管理、远程截屏、远程桌面监控功能，减轻管理员远程维护的工作困难。

3.7.1资产管理

按组织机构管理，实现设备信息的注册和审批。计算机安装了安全客户端后，可以自动搜集系统、硬件、软件信息，并自动更新其变更情况。对于资产情况可进行用户自定义的组合查询。

3.7.2定时截屏功能

按组织机构设定截屏参数；

可对任意一台安装了eCop客户端且在线正常的机器进行实时截屏； 可任意选中一个或多个或一定范围的计算机进行定时截屏； 可定义时间段进行定时截屏，并设置图片大小、截屏周期；

可以查看客户端截屏画面，并可以通过幻灯片的方式循环播放

3.7.3客户端远程卸载管理

客户端卸载有页面卸载和远程卸载两种方式，通过该功能模块创建卸载许可证进行远程卸载。

3.7.4远程桌面管理Lanseeker

远程桌面管理LanSeeker用来在局域网中部署、监视并且管理分散的IT设备，诸如终端、服务器、和工作站，是eCop产品家族中的一款远程监控软件。Lanseeker主要功能有： 屏幕监视：实时获取客户端计算机上的屏幕图像，显示在监控端机器的画面上。开多个窗口能够同时监视多台计算机的画面。可以用于工程项目中实时查看现场终端的运行状况，也可以作为主管查看员工工作进度的工具。

远程控制：用户通过LanSeeker创建一个虚拟的网络计算机，可以使用客户端上允许使用的各种资源，对计算机进行远程控制，与直接操作客户端计算机没有区别。

3.8审计与报表

安全审计中心根据用户配置的审计策略和报警策略汇总各类审计信息和报警信息，提供丰富的查询功能，方面用户进行查询和问题追踪。

报表模块中内置了最常用的审计记录报表、报警信息报表和终端资产信息报表，用户可以进行实时报表浏览，或者定制报表模板，或者定义报表任务，报表任务支持日报表，周报表，月报表和定时报表；报表任务生成的报表文件提供下载列表。

系统对审计信息，报警记录，报表文件和终端截屏文件大数据量数据进行管理，以免

系统磁盘空间不足，导致系统不能正常运行。用户可以配置系统磁盘预警和阈值，当达到预警值后发送报警，达到阈值后，可以删除数据或者按照配置的ftp服务器，上传数据。

3.9配置与维护

系统配置中心完成运行环境的配置，创建用户、组织机构、群组，并可根据需求进行管理权限配置和下发。

系统维护中心完成系统升级、数据库备份、数据库清理、工具下载等功能。

4.成功案例

4.1典型用户列表

行业

客户名称

中国海关（含全国各分海关） 广东省进出口检验检疫局 政府机关

制造业

金融业

能源/电力

电信

科研院所

军队 教育

医疗卫生

其它 。。。。。。

上海市嘉定区政府

厦门市工商局 贵州安顺国税 宝钢集团

梅山钢铁集团 第二重型机械厂 中国建设银行

厦门市商业银行 秦山核电站

泉州电业

中石油上海销售公司

上海联通

中国航空工业第618所航天部第805所 航天部第802所

广州军区司令部通讯部北京房山区教委 中山大学附属第二医院广州军区武汉总医院

成都图书馆

上海市宝山区检察院

浙江省高级人民法院 湖南省水利厅 云南红塔集团

上广电NEC液晶显示器公司广西卷烟厂 无锡商行

徐州发电厂 无锡西姆莱斯 四川广旺能源发展集团 常州联通 航天部第804所 航天部第810所

陆军31集团军 广东佛山三中 上海海员医院

上海动力设备公司

4.2行业典型案例

4.2.1宝钢股份内网安全管理平台

4.2.1.1 项目建设背景

宝钢股份网络采用以太网络，其中各个办公地点之间使用光纤连接。网络设备使用Cisco系列产品。宝钢股份内网截至目前划分VLAN共计75个，后期可能增至85个。其中eCop中央控制服务器与其他监控设备单独部署在一个网段之中。

宝钢股份接入内部网络的计算机共有5000台左右，同属于一个网络安全范畴。IP地址采用静态指定的方式。

4.2.1.2 宝钢股份内网安全管理系统的特点：

1、全网部署eCop系统IP地址管理功能，解决IP地址滥用冒用和IP地址冲突的问题。 2、宝钢股份各个部门安全等级大多是统一的，没有重点和非重点之分。

3、宝钢股份有一个独立的信息化管理部门－宝钢股份设备部，负责宝钢股份网络管理的是通讯管理室，其中绝大部分的人为相关计算机专业出身，具备相关的理论水平和实践经验。 4、宝钢股份网络环境运行稳定性要求比较高。同时宝信软件系统服务部和智能化工程事业部提供专业的技术支持，有一定的运行维护经验和管理水平。

4.2.1.3 宝钢股份内网资源的特点：

终端分散程度：二级机构众多，内网节点总数大，位置相对比较分散；

问题与需求分析

宝钢股份是国内规模最大的制造型企业之一，由于网络环境规模较大、节点很多，管理起来由一定难度。主要有下列需求： 1、外联监控

涉密网内的计算机不让访问外部计算机或者Internet； 2、设备端口管理

不允许用USB等设备拷贝资料，特别是计算机的通讯端口，一般需要禁用掉。 3、资产管理

由于二级单位使用的计算机比较分散，台帐不好管理，对“基础信息”和“资产信息”的集中管理的需求强烈。 4、节点接入控制

对于不是该内网的计算机接入内网，希望能对该未登记注册的计算机进行快速隔离和阻断。

对于内部非法修改终端计算机网络设置的计算机能进行验证，即节点验证的需求。 对于大厦中裸露物理网口的保护。 5、访问权限控制

宝钢股份客户端数目众多，管理人员较多，需要准确分清“你是谁”“可以做什么”等权限问题。 6、服务监控

内网中的计算机是很多都是通过服务器来获取网络共享资源，如果服务器宕掉，或者其中运行关键服务关键进程出现问题，将影响到内网信息的可获得性，也是影响信息安全的一个重大问题。 方案设计

eCop中心控制服务器部署在宝钢指挥中心计算机中心机房的管理网段内。由于宝钢股份目前没有实施客户端安全管理模块，因此目前只部署了eCop中央控制服务器1台和IP地址管理代理31套。整个实施方案工作的示意图如下：

4.2.1.4 方案实施与效果

整个方案的实施大致分为以下阶段：

1、信息中心工作人员试用eCop。信息中心的人员先在自己部门小范围内试用，积累初步经验。

2、全面部署IP管理代理，IP地址管理模块正式上线阶段，完成全网接入用户的实名管理和非法阻断。

eCop的成功实施和稳定运行，规范了内网的IP地址管理，为内网规范化管理提供了技术保障，提升了网络和服务器安全管理的水平，达到如下效果：

1、规范了网络接入的管理程序，新增加的需要接入内网的计算机，需要到信息中心报备和批准；

2、杜绝了由于一般人员私自修改IP地址造成服务器冲突、停机的现象，避免了重大经济损失；

3、极大减轻了管理人员的工作量；

4、充分实现“以人为本”的理念，实现信息安全工作齐抓共管。

第三章、 网络优化方案设计

1.外网网络及业务应用系统现状

为确保网站的安全性和稳定性，同时保障外部用户访问网站的方便快捷，目前，外网局域网网络结构及设备连接现状图如下:

总部以交换机为核心，从业务和功能方面，外网网络结构划分为以下几个VLAN：服务器分为VLAN1\\VLAN2\\VLAN3,三个区域；非研发部门独立在VLAN4区域；研发部门和PDM服务器独立在VLAN5区域；销售人员独立在VLAN6区域；所有区域与互联网逻辑隔离。还有一个分厂独立成为一个网络，和总部物理隔离。总部外网网络开通了一条互联网出口。

2.系统设计原则

? 高可靠性--网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高

可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持各个系统的正常运行。

? 技术先进性和实用性--保证满足系统业务的同时，又要体现出网络系统的先进性。在网

络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到阿尔西网络应用的现状和未来发展趋势。

? 高性能-承载网络性能是网络通讯系统良好运行的基础，设计中必须保障网络及设备的

?

? ? ?

高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，才能使网络不成为阿尔西各项业务开展的瓶颈。

标准开放性--支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，有利于保证与其它网络(如公共数据网、金融网络、行内其它网络)之间的平滑连接互通，以及将来网络的扩展。

灵活性及可扩展性--根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和设备的调整。

可管理性--对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。 安全性--制订统一的骨干网安全策略，整体考虑网络平台的安全性。

3.网络与网络安全系统方案设计

3.1网络与网络安全系统总体架构

根据阿尔西外网业务和功能的后续不断扩充，建议划分为五大区域: 用户接入区、安全管理区、对内服务区、对外服务区、Internet连接区，各区域之间通过防火墙隔离。

3.1.1用户接入区网络设计

用户接入区主要为阿尔西内部用户提供接入，因此在充分保证可靠性的同时，也必须实现数据的高速访问。

3.1.2安全管理区网络设计

该区域放置相关网络安全管理服务器。

3.1.3对内服务区网络设计

该区域提供局域网内部用户相关关键应用系统提供接入。

3.1.4对外服务器网络设计

该区域提供未来阿尔西对外关键应用系统提供接入。

3.1.5Internet连接区

目前该区域主要由一根Internet连接区成，后续根据业务进行扩充。

3.2网络系统设计

3.2.1用户接入和安全管理区网络设计

用户接入区主要为阿尔西内部用户提供接入，因此在充分保证可靠性的同时，也必须实现数据的高速访问。

用户接入区网络的设计分为两层：核心层和接入层。核心层采用两台核心交换机，两台互为主/备，同时提为接入层交换机及网络安全管理服务器提供双路接入，保证链路的可靠性。接入层交换机选用WS-C2960-48TC-L（提供了48个10/100/1000M接口及2个1000M接口），接入层交换机以2条1000M链路（办公楼接入层交换机通过多模光缆、综合楼接入层交换机通过单模光缆）分别上联两台核心层交换机，同时提供安全管理服务器的双路接入。

用户接入区网络拓扑图如下：

核心层交换机办公楼接入层交换机综合楼接入层交换机安全管理服务器 3.2.2对内服务区网络设计

对内服务区由VLAN1、VLAN2、VLAN3、VALN5中的内部服务器组成，该区域提供局域网内部用户相关关键应用系统提供接入。因此在充分保证可靠性的同时，也必须实现数据的高速访问。

对内服务区网络主要由2台Cisco Catalyst 4506组成，两台互为冗余备份。同时为区域内的服务器提供千兆双路接入，保证服务器的冗余接入。

3.2.3对外服务器网络设计

对外服务区由VLAN1、VLAN2、VLAN3、VALN5中的外部服务器和未来增加的外部服务器组成。该区域提供阿尔西对外关键应用系统提供接入。因此在充分保证可靠性的同时，也必须实现数据的高速访问。

对外服务区网络主要由2台Cisco Catalyst 4506组成，两台互为冗余备份。同时为区域内的服务器提供千兆双路接入，保证服务器的冗余接入。

3.3网络运维管理软件

3.3.1需求分析

随着信息化建设的不断推进，业务应用系统的不断开发和投入运行，IT系统管理的范围也越来越大，包括网络、服务器、数据库、应用系统、桌面系统，IT系统日益成为政府和企业日常工作的主要支撑平台。

如何使IT系统稳定、可靠、安全的运行，如何使IT工作步入一个有序的、规范的层次，如何使IT系统更好的为业务系统提供服务，从而提高整体运行效率，成为IT工作的一个长期的目标。

如何提升运行服务水平，对IT系统（网络、应用和安全等）进行统一监控，及时发现和排除故障，保障政府和企业日常生产与办公的有序进行，已日益成为信息部门的工作重点。越来越多用户认识到：三分建设七分管理，IT系统的管理质量直接影响IT系统的运行质量。 同时，网络安全也日益为人们关注的焦点。据统计分析资料得知，网络受到的攻击和损失更多地来自内部(约占70%)，政府和企业内网的安全防护日益受到重视，网络安全特别是 “内网安全”已成为 IT应用面临的关键问题之一。

上海宝信基于上述需求，借鉴多年来从事网络管理软件开发和服务的经验与理念，提出了eCop NOM综合运行管理平台解决方案，该解决方案面对用户日益复杂的异构网络环境和系统，克服了对网络、服务器、应用和安全的分割管理，提供了安全运行集中监控与管理平台。在该平台的统一监管下，不但可以优化网络、充分利用系统资源，保障网络和应用系统地正常有序运行。

3.3.2产品概述

eCop NOM系统结构是一个完整的网络管理、系统管理、安全管理、IT基础环境管理、运行值班管理解决方案，可以最大限度的保护网络的现有投资，并充分考虑到将来管理需求扩展。其中每一个层次之间的描述如下：

3.3.2.1 管理对象层

管理对象层涵盖了机房环境、网络设备、主机系统、业务应用软件、网络安全设备等。同时系统可以管理由网络设备和线路构成的多种链路。

3.3.2.2 组件管理层

组件管理层通过各类探针(Probe)获得各类被管对象的数据。采集方式支持多种网络协议和采集方式，对于不符合标准网络协议的设备，系统提供二次开发的数据采集接口。

采集协议与方式主要包括：

SNMP、SNMP TRAP、Agent、WMI、SYSLOG、Telnet、SSH、Socket等。 采集的数据类型主要包括：

网络设备、安全设备、主机系统、系统软件（中间件和数据库）、业务应用软件、机房环境等。

3.3.2.3 数据汇聚层

在底层模块所提供的功能基础之上，根据我们对网络综合运行管理系统需求的了解及我公司在以往项目经验基础，为用户又提供了如下几个实用功能：

? 运行一览视图：展现安全、系统、业务应用的运行情况； ? 业务视图：按业务的角度，对应用的运行状态进行监控；

? 告警视图：实现对网络、安全、系统、机房环境等产生的所有告警事件的组织、

展现和处理；

? 知识库：对故障的诊断和排除提供建议和向导。通过不断地积累故障处理经验和

知识，帮助技术人员不断地提高故障处理速度和技术水平。

? 资源管理：实现资产管理功能，通过资源管理功能，用户可以对某设备迅速查出：

“谁对设备做的登记、谁对设备做过维护、设备由谁负责”。

? 工单管理：支持领导指派、告警自动生成工单，详细记录工单的每部操作，通过

此功能还可以考核运维人员工作效率。

3.3.2.4系统自身管理

实现对集中管理运行系统软件的自身管理，如：

? 监测系统自身监测：监测系统每个模块的运行状态，如发生异常，可以自动恢复

此模块运行；

? 用户管理：统一管理平台系统中的网络管理、系统管理管理、安全事件管理、机

房环境管理等模块的用户；

? 权限管理：统一管理每个用户的权限；

? 系统操作日志：详细记录统的用户操作、系统自身运行日志。

3.3.3功能简介

eCop NOM网络管理系统包括了如下常用的网络管理功能：拓扑图、编辑与查看、性能分析、资源管理、事件与告警、工具、系统管理、日志、帮助等，不在这里详述。

第四章、 网络安全规划设计

1.安全体系需求分析

1.1安全防护现状

从安全防护的角度来看，当前的安全系统建设已经取得了一定的成效，为阿尔西信息系统的正常运行提供了较好的支撑，在本期项目中将从整体安全保障的角度进行规划和设计，使系统更加符合国家相关政策要求。

1.2安全体系需求

通过可能面临的安全威胁和风险的分析，为确保阿尔西网络系统的安全可靠运行，需

要满足如下安全需求：

1.2.1等级化保护

1.2.1.1 参考相关的安全标准

阿尔西的信息化建设从安全的角度讲，需要对信息安全保障体系进行全面的规划和设计，确保阿尔西保障体系的广度和深度。

我国对信息安全保信息网络安全障工作的要求非常重视，国家相关部门也陆续出台了相应的标准：

在安全技术防护方面，应参考公安部于2005年发布的《信息系统安全等级保护基本要求》,该文件规定了信息系统安全等级保护的基本要求，包括基本技术要求和基本管理要求，适用于安全保护等级为四级及四级以下的信息系统的安全保护，技术要求包含了物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的要求，管理安全则包含了安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个层面的建设要求。

1.2.1.2 系统的整体定级

? 安全等级第一级

对信息系统安全属性的破坏会对公司造成较小的负面影响，包括：

? 公司运行带来较小的负面影响，公司还可以进行基本的业务，但效率有较小程度

的降低；

? 对相关部门、人员造成较小经济损失；

? 对相关部门、人员的形象或名誉造成较小影响； ? 不会造成人身伤害。

? 安全等级第二级

对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成中等程度的负面影响，包括：

? 对政务机构运行带来中等程度的负面影响，政务机构还可以履行其基本的政务职

能，但效率有较大程度的降低；

? 对政务机构、相关单位、人员造成一定程度的经济损失；

? 对政务机构、相关单位、人员的形象或名誉造成一定程度的负面影响； ? 造成轻微的人身伤害。 ? 安全等级第三级

对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成较大的负面影响，对国家安全造成一定程度的损害，包括：

? ? ? ?

对政务机构运行带来较大的负面影响，政务机构的一项或多项政务职能无法履行； 对政务机构、相关单位、人员造成较大经济损失；

对政务机构、相关单位、人员的形象或名誉造成较大的负面影响； 导致严重的人身伤害。

? 安全等级第四级

对电子政务信息和信息系统安全属性的破坏会对政务机构履行其政务职能、机构财产、人员造成严重的负面影响，对国家安全造成较大损害，包括：

? 对政务机构运行带来严重的负面影响，政务机构的多项政务职能无法履行，并在

区级行政区域范围内造成严重影响； ? 对国家造成严重的经济损失； ? 对国家形象造成严重影响； ? 导致较多的人员伤亡；

? 导致危害国家安全的犯罪行为。

电子政务五个安全等级在机密性、完整性和可用性三个安全属性方面的描述如表3-1所示。

宝信根据阿尔西对网络安全的需求，建议阿尔西做安全等级的第二级防护。

1.2.2对应等级网络安全建设需求

序号 网络安全等级保护要求(二级) 结构安全与网段划分 1 网络设备的业务处理能力应具备冗余空间，要求满足业务高峰

本方案对应的技术手段

核心交换机及服务器区汇聚层利用双机冗

期需要

2 应设计和绘制与当前运行情况相符的网络拓扑结构图 3 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径

4

应根据各部门的工作职能、重要性、所涉及信息等级等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段

5 重要网段应采取网络层地址与数据链路层地址绑定措施

6

应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要业务数据主机

网络访问控制 1 应能根据会话状态信息（包括数据包的源地址、目的地址、源

端口号、目的端口号、协议、出入的接口、会话序列号、发出信息的主机名等信息，并应支持地址通配符的使用），为数据流提供明确的允许/拒绝访问的能力

2 应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、

TELNET、SMTP、POP3等协议命令级的控制

3 应依据安全策略允许或者拒绝便携式和移动式设备的网络接入 4

应在会话处于非活跃一定时间或会话结束后终止网络连接；应

限制网络最大流量数及网络连接数

网络安全审计 1. 应对网络系统中的网络设备运行状况、网络流量等进行全面的

监测

2. 对于每一个事件，其审计记录应包括：事件的日期和时间、用

户、事件类型、事件是否成功，及其他与审计相关的信息；安全审计应可以根据记录数据进行分析，并生成审计报表；安全审计应可以对特定事件，提供指定方式的实时报警；审计记录应受到保护避免受到未预期的删除、修改或覆盖等

边界完整性检查 1 应能够检测内部网络中出现的内部用户未通过准许私自联到外

部网络的行为（即“非法外联”行为）；应能够对非授权设备私自联到网络的行为进行检查，并准确定出位置，对其进行有效阻断；应能够对内部网络用户私自联到外部网络的行为进行检测后准确定出位置，并对其进行有效阻断。

网络入侵防护 1 应在网络边界处应监视以下攻击行为：端口扫描、强力攻击、

木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等入侵事件的发生；当检测到入侵事件时，应记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在

余设计，

接入层交换机都利用双链路上联，最大限度保证网络系统冗余性

利用网络管理软件对现有的网络进行实时管理及控制

各区域之间设置防火墙，保证各区域之间安全访问控制。

根据阿尔西各VLAN分配ip地址段，服务器区域按照安全等级都使用独立的ip地址段

使用eCop设备，对终端电脑ip地址及mac地址绑定，保证合法终端接入

在网络出口设置,根据业务数据主机的重要性分配各应用系统带宽。

各区域之间设置防火墙，根据要求对访问进行策略控制。

各区域之间设置防火墙，对各协议进行检测。

Ecop终端安全产品，对用户连接接入进行健康检查及准入控制。

利用防火墙对会话对最大连接数进行限制

使用网管系统对阿尔西网络内的设备进行集中检测。

使用宝信ecop EIM模块对用户上网行为进行监控及记录。

通过安装ecop终端，阻断非法用户接入网络。同时对用户的上网行为进行检测。能够检测用户外联行为，根据策略限制用户上网行为。

在对内服务区、对外服务区及internet接入区部署防入侵系统保护网络安全。

发生严重入侵事件时提供报警。

恶意代码防范 应在网络边界及核心业务网段处对恶意代码进行检测和清除；

应维护恶意代码库的升级和检测系统的更新；应支持恶意代码防范的统一管理 网络设备防护 1 应对登录网络设备的用户进行身份鉴别；应对网络上的对等实

体进行身份鉴别；应对网络设备的管理员登录地址进行限制；网络设备用户的标识应唯一；身份鉴别信息应具有不易被冒用的特点，例如长且复杂的口令、定期的更改等；应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别；应具有登录失败处理功能；应具有限制非法登录次数的功能；应设置网络登录连接超时，并自动退出；应实现设备特权用户的权限分离，例如将管理与审计的权限分配给不同的网络设备用户

阿尔西内网设置了防病毒系统、补丁升级系统、入侵防护系统及内网安全系统。对恶意代码进行实时的检测及清除。

通过对网络设备telnet进行配置，对网络设备进行保护

2.安全系统设计

2.1防火墙系统

阿尔西目前已经有一台防火墙，实现了对整个区域的访问控制和入侵防护。后续系统需要进行扩充时，再给出合理的配置方案。

2.2入侵防护系统设计

2.2.1入侵防护系统简介

随着Internet及Intranet市场快速持续增长，目前的应用系统发展与Web更加紧密，从办公系统到交易系统，这种趋势日益明显。由于Internet的开放性和互连性，随之而来的安全问题，日益突出。Mi2g机构指出，仅 Sobig 病毒就为全球经济带来了297 亿美元的损失。拒绝服务（DoS）攻击导致的平均损失为 1,427,028 美元，相比增长了五倍。 根据分析，大多数攻击（蠕虫、病毒、DoS）都是通过80 端口进行的。现有的安全系统，比如防火墙，对Web端口的检测功能非常有限，而IDS系统由于采用被动方式检测，无法对正在发生的攻击作出及时响应，并且存在误报率高的弱点。而病毒过滤系统，由于采用软件方式，又存在着性能不高的缺点。安全系统的整合也是一个问题，如何在提供可靠的安全防护，又能保证网络和应用系统的性能，同时让系统保持高度的灵活性和可扩展性，给大家带来了新的挑战。

2.2.2入侵防护系统主要功能

本文来源：https://www.bwwdw.com/article/jatg.html